Cette page a été traduite par l'API Cloud Translation.

Périmètres VPC Service Controls et Data Catalog

VPC Service Controls peut aider votre organisation à limiter les risques d'exfiltration de données provenant de services gérés par Google, tels que Cloud Storage et BigQuery. Cette page montre comment Data Catalog interagit avec les ressources d'un périmètre de service VPC Service Controls.

Les exemples de ce document utilisent BigQuery pour montrer comment Data Catalog interagit avec les périmètres. Toutefois, Data Catalog respecte les périmètres de tous les systèmes de stockage Google de la même manière, y compris Cloud Storage et Pub/Sub.

Exemple

Pour comprendre comment Data Catalog interagit avec les périmètres, examinez le schéma suivant.

Le schéma présente deux projets Google Cloud : Project A et Project B. Un périmètre de service est établi autour de Project A, et le service BigQuery est protégé par le périmètre. L'utilisateur n'a pas obtenu l'accès au périmètre via une adresse IP figurant sur une liste d'autorisation ou une identité d'utilisateur. Project B ne se trouve pas dans le périmètre.

En raison du périmètre VPC autour du projet A, l'utilisateur n'accède qu'aux métadonnées du projet B via Data Catalog. — **Figure 1.** L'utilisateur dispose d'un accès Data Catalog à BigQuery `Project B`, mais pas à `Project A`.

Voici le résultat de cette configuration:

Data Catalog continue de synchroniser les métadonnées BigQuery à partir des deux projets.
L'utilisateur peut accéder aux données et aux métadonnées de Project B à partir de BigQuery, et rechercher ou taguer ses métadonnées avec Data Catalog.
L'utilisateur ne peut pas accéder aux données Project A dans BigQuery, car elles sont bloquées par le périmètre. L'utilisateur ne peut pas non plus effectuer de recherches ni taguer ses métadonnées avec Data Catalog.

Éléments intégrés personnalisés

Data Catalog est capable d'intégrer des éléments provenant d'autres clouds et de sources de données sur site. Ils sont appelés "composants intégrés personnalisés". Si Data Catalog n'est pas ajouté au périmètre VPC Service Controls, les utilisateurs peuvent toujours accéder aux éléments intégrés personnalisés, même pour les projets situés dans des périmètres pour lesquels ils ne figurent pas sur une liste d'autorisation.

Dans l'exemple suivant, des éléments intégrés personnalisés ont été ajoutés à Project A et Project B à partir du premier exemple. Dans cet exemple, l'utilisateur n'a toujours pas accès au périmètre.

En raison du périmètre VPC autour du projet A, l'utilisateur n'accède qu'au projet B et aux données intégrées personnalisées des projets A et B. — **Figure 2.** L'utilisateur dispose d'un accès Data Catalog à BigQuery `Project B` et aux métadonnées intégrées personnalisées dans `Projects A` et `B`.

Voici le résultat de cette configuration:

L'utilisateur peut accéder aux données et aux métadonnées de Project B à partir de BigQuery, et rechercher ou taguer ses métadonnées avec Data Catalog.
L'utilisateur ne peut pas accéder aux données ni aux métadonnées Project A depuis BigQuery, car elles sont bloquées par le périmètre. Il ne peut pas non plus effectuer de recherches ni taguer ses métadonnées avec Data Catalog.
L'utilisateur peut utiliser Data Catalog pour rechercher ou taguer des métadonnées pour les éléments intégrés personnalisés dans Project A et Project B.

Limiter l'accès aux éléments intégrés personnalisés

Vous pouvez limiter l'accès aux éléments intégrés personnalisés en utilisant un périmètre de service pour protéger l'API Data Catalog. L'exemple suivant développe le deuxième exemple en ajoutant un périmètre autour du service Data Catalog pour Project B:

En raison du périmètre VPC autour du projet A et des données intégrées personnalisées du projet B, l'utilisateur n'accède qu'au projet B et aux données personnalisées du projet A. — **Figure 3 :** L'utilisateur dispose d'un accès Data Catalog à `Project B` et à des métadonnées intégrées personnalisées dans `Project A`.

Voici le résultat de cette configuration:

Data Catalog n'est pas ajouté au périmètre de Project A. L'utilisateur peut donc rechercher ou taguer des métadonnées pour les éléments intégrés personnalisés dans Project A.
Data Catalog est ajouté au périmètre de Project B. L'utilisateur ne peut donc pas rechercher ni taguer les métadonnées des éléments intégrés personnalisés dans Project B.
Comme dans le premier exemple, l'utilisateur ne peut pas accéder aux données ni aux métadonnées Project A depuis BigQuery, car elles sont bloquées par le périmètre. Il ne peut pas non plus rechercher ni taguer des métadonnées BigQuery avec Data Catalog.
Même si un périmètre de service est établi pour Project B, le service BigQuery y est ajouté. Cela signifie que l'utilisateur peut accéder aux données ou aux métadonnées Project B à partir de BigQuery, et rechercher ou taguer les métadonnées BigQuery avec Data Catalog.

Compatibilité avec la traçabilité des données

La traçabilité des données est compatible avec les adresses IP virtuelles (VIP) restreintes. Pour en savoir plus, consultez la section Services compatibles avec l'adresse IP virtuelle restreinte.